[市場動向]

2016年5月17日(火)杉田 悟（IT Leaders編集部）

リスト

　コンピュータソフトウェア協会（CSAJ、2021年7月に一般社団法人ソフトウェア協会〈SAJ〉に名称変更）は、既存のセキュリティ委員会内に「データ消去証明推進研究会」を発足させたことを、2016年5月16日に発表した。PCやスマートフォン、タブレットなどのクライアント端末を廃棄あるいはリユースする際に、保存されていたデータが完全抹消されているかどうかを第三者機関で認証する仕組みの構築を技術面、ビジネス面、法制面から検討するための組織となっている。

　一般的にクライアント端末やサーバーなどのデータ消去は、専門の事業者に任せることが多い。機密事項が含まれている企業の場合、情報漏洩のリスクを避けるため専用のツールを使ってデータを完全抹消する必要がある。この専用ツールは、ユーザーが自分たちで使うには操作が難しいものが多く、間違いなく行うためには専門家の協力を仰ぐこととなる。

　マイナンバー制度の施行により、現在ではほとんどの企業の端末に機密情報が含まれている可能性が高くなっている。そのため、ハードウェアのリプレースの際には、データの完全抹消が常識となっている。

　データ消去の方法としてメジャーなのが、「上書き処理」だ。これはディスクの全領域に無意味なデータを上書きするという手法で、2度、3度とこれを繰り返すことで消去の確率は上がるとされている。米国の国防総省や海軍、空軍などのマニュアルでも、データを完全消去処理する際には、上書き処理を行うよう定められている。ちなみに、国防総省と海軍は3回、空軍は4回の上書きが必要とされている。

　データ消去を行った事業者からは、多くの場合紙の証明書が渡される。これはデータを完全抹消したことを証明するものだが、実際は作業報告書のようなもので、データの完全抹消を理論的に示すものではない。上記の「上書き処理」、実際に行うとなると1TBあたり数時間を要することも珍しくなく、事業者にとっては相当な負担となる。

　例えば悪意ある事業者が負担を避けるため、実際はフォーマットするだけで表面上データ消去したように見せかけたとしても、ユーザーが素人目で判断することは難しい。証明書を適当にねつ造して提出すれば、気付かれることなく、うまいビジネスが行えるというわけだ。データ消去がいい加減に行われていれば、情報漏洩の温床になるため、ユーザーのリスクは限りなく大きくなる。このような事態を回避するため、CSAJが立ち上がった。

●Next：データ消去の処理から証明までを電子的に行う仕組み作りへ